Bocoran Kode Peretas Trust Wallet: $6M dalam Cryptocurrency Dicuri Melalui Ekstensi Berbahaya

Serangan canggih yang menargetkan pengguna Trust Wallet telah mengakibatkan pencurian lebih dari $6 juta dalam aset digital, mengungkap salah satu kerentanan keamanan paling serius di ruang dompet kripto. Serangan tersebut melibatkan kode peretas yang langsung disematkan ke dalam kode sumber ekstensi browser—sebuah pengembangan yang diklasifikasikan oleh peneliti keamanan sebagai Operasi Ancaman Persisten Tingkat Lanjut (APT).

Bagaimana Kode Peretas Mengeksploitasi Pengguna Trust Wallet

Pada 8 Desember 2025, penyerang mendaftarkan domain berbahaya metrics-trustwallet.com. Dua minggu kemudian, pada 21-22 Desember, peneliti keamanan mendeteksi upaya pertama pengambilan data secara tidak sah. Kode peretas beroperasi melalui mekanisme yang tampak sederhana namun efektif: ketika pengguna membuka kunci ekstensi Trust Wallet mereka (versi 2.68), kode berbahaya akan menyadap frasa seed terenkripsi mereka.

Kerentanan ini bukan diperkenalkan melalui perpustakaan pihak ketiga yang dikompromikan atau dependensi—melainkan, penyerang secara langsung menyuntikkan kode berbahaya ke dalam basis kode internal Trust Wallet. Perbedaan ini sangat penting: ini menunjukkan bahwa aktor ancaman mendapatkan akses ke infrastruktur pengembangan atau sistem deployment Trust Wallet beberapa minggu sebelum serangan menjadi publik.

Metodologi serangan bergantung pada pencurian frasa mnemonik terenkripsi pengguna dengan memanfaatkan kata sandi atau passkey yang mereka masukkan saat membuka kunci dompet. Kode peretas kemudian akan mendekripsi frasa tersebut dan mengirimkannya ke server perintah-dan-kontrol penyerang (api.metrics-trustwallet[.]com), memberi penyerang kendali penuh atas dompet yang dikompromikan.

Dalam Serangan: Analisis Teknis Kode Peretas Berbahaya

Peneliti keamanan dari SlowMist melakukan analisis mendalam dengan membandingkan versi 2.67 dan versi 2.68 dari ekstensi Trust Wallet. Temuan tersebut mengungkapkan secara tepat bagaimana kode peretas berfungsi di tingkat aplikasi.

Payload berbahaya tersebut mengulangi semua dompet yang disimpan di dalam ekstensi dan mengirim permintaan untuk mengekstrak frasa mnemonik terenkripsi pengguna. Setelah diperoleh, kode akan mendekripsi frasa tersebut menggunakan kredensial otentikasi yang dimasukkan pengguna saat membuka kunci dompet. Jika dekripsi berhasil—yang akan terjadi untuk setiap pengguna yang sah—frasa mnemonik yang terekspos secara otomatis dikirim ke server penyerang.

Kecanggihan kode peretas ini menunjukkan pengembangan tingkat profesional. Penyerang memanfaatkan perpustakaan analitik PostHogJS yang sah sebagai kedok, mengarahkan data analitik yang sah ke infrastruktur berbahaya mereka. Teknik ini memungkinkan kode peretas menyatu dengan operasi dompet normal, menghindari deteksi langsung.

Analisis dinamis dari serangan mengungkapkan bahwa setelah didekripsi, data frasa mnemonik disisipkan ke dalam bidang pesan error dari permintaan jaringan—teknik obfuscation yang cerdas yang memungkinkan kredensial yang dicuri melewati lalu lintas jaringan tanpa menimbulkan tanda bahaya langsung. Analisis lalu lintas BurpSuite mengonfirmasi bahwa frasa pemulihan yang dicuri secara konsisten dikemas dalam bidang errorMessage sebelum dikirim ke server penyerang.

Melacak Aset yang Dicuri dan Infrastruktur Penyerang

Menurut data yang diungkapkan oleh peneliti keamanan zachxbt, perampokan tersebut mengakibatkan kerugian besar di berbagai blockchain:

• Blockchain Bitcoin: Sekitar 33 BTC dicuri, bernilai sekitar $2.96 juta (dengan tarif saat ini $89.57K per BTC per Januari 2026)
• Ethereum dan jaringan Layer 2: Sekitar $3 juta dalam kerugian gabungan
• Blockchain Solana: Sekitar $431 dicuri
• Jaringan lain: Kerugian tambahan dari berbagai ekosistem blockchain

Analisis pasca pencurian menunjukkan bahwa penyerang segera mulai memindahkan dan menukar aset yang dicuri melalui jembatan desentralisasi dan berbagai bursa terpusat, kemungkinan untuk mengaburkan asal-usul dana dan menyulitkan upaya pemulihan.

Domain berbahaya tersebut didaftarkan pada 8 Desember 2025, pukul 02:28:18 UTC melalui registrar domain NICENIC INTERNATIONA. Waktu antara pendaftaran domain dan upaya pengambilan data pertama sangat menunjukkan bahwa ini adalah operasi yang dikoordinasikan dengan cermat—kode peretas tidak dideploy secara terburu-buru, melainkan sebagai bagian dari kampanye yang direncanakan dengan matang.

Tindakan Segera: Melindungi Dompet Anda dari Serangan Berbasis Kode Serupa

Tim pengembang Trust Wallet mengonfirmasi kerentanan di versi 2.68 dan merilis advis keamanan mendesak. Respon resmi mencakup arahan penting berikut:

Jika Anda menggunakan ekstensi browser Trust Wallet:

1. Putuskan koneksi dari internet segera—ini harus menjadi langkah pertama sebelum melakukan tindakan troubleshooting apa pun. Tetap terhubung saat dompet Anda berpotensi dikompromikan meningkatkan risiko kehilangan aset secara total.

2. Ekspor kunci pribadi atau frasa mnemonik Anda saat offline, lalu hapus ekstensi Trust Wallet segera. Jangan mengaktifkan kembali versi 2.68 dalam keadaan apa pun.

3. Tingkatkan ke versi 2.69 hanya setelah memindahkan dana Anda ke dompet baru yang sepenuhnya aman (baik aplikasi dompet berbeda, dompet hardware, maupun akun baru dengan frasa pemulihan yang dibuat ulang).

4. Pindahkan semua dana ke alamat dompet baru sesegera mungkin dengan aman. Setiap cryptocurrency yang tersisa di dompet yang sebelumnya diakses melalui versi 2.68 harus dianggap berisiko.

Kerentanan kode peretas ini mempengaruhi semua pengguna yang menginstal versi 2.68, terlepas dari apakah mereka secara aktif menggunakan ekstensi—payload berbahaya dieksekusi secara otomatis saat membuka kunci dompet.

Mengapa Ini Merupakan Ancaman Kode Peretas Level APT

Analis keamanan mengklasifikasikan serangan ini sebagai Ancaman Persisten Tingkat Lanjut (APT) yang canggih karena beberapa alasan kuat. Pertama, lingkup dan koordinasinya menunjukkan aktor ancaman profesional, bukan peretas oportunistik. Kedua, akses yang tampaknya dimiliki penyerang ke sistem pengembangan atau deployment Trust Wallet menunjukkan kompromi yang ditargetkan terhadap infrastruktur, bukan hanya aplikasi dompet yang bersifat publik.

Ketepatan kode peretas—kemampuannya menargetkan mekanisme membuka kunci dompet tertentu, mendekripsi frasa yang diamankan, dan mengekstrak data melalui permintaan analitik yang tampak sah—menunjukkan kemampuan teknis tingkat tinggi. Celah selama sebulan antara pendaftaran domain dan deteksi serangan menunjukkan perencanaan dan pengintaian yang matang.

Insiden ini menjadi pengingat keras bahwa bahkan proyek yang mapan dan memiliki sumber daya besar pun dapat menjadi korban serangan rantai pasokan yang canggih. Kode peretas ditempatkan bukan sebagai ancaman eksternal, melainkan sebagai bagian dari aplikasi yang sah, sehingga deteksi menjadi sangat sulit bagi pengguna akhir sampai peneliti keamanan mengidentifikasi anomali tersebut.

Pengingat penting: Pengguna harus menganggap bahwa setiap cryptocurrency yang disimpan di dompet yang sebelumnya terhubung ke Trust Wallet versi 2.68 kini berisiko, dan migrasi segera ke alternatif yang aman sangat diperlukan.